KR101403837B1 - Method for establishing and managing a secure direct link between stations - Google Patents

Method for establishing and managing a secure direct link between stations Download PDF

Info

Publication number
KR101403837B1
KR101403837B1 KR1020070114592A KR20070114592A KR101403837B1 KR 101403837 B1 KR101403837 B1 KR 101403837B1 KR 1020070114592 A KR1020070114592 A KR 1020070114592A KR 20070114592 A KR20070114592 A KR 20070114592A KR 101403837 B1 KR101403837 B1 KR 101403837B1
Authority
KR
South Korea
Prior art keywords
station
direct link
message
nonce
security
Prior art date
Application number
KR1020070114592A
Other languages
Korean (ko)
Other versions
KR20090048530A (en
Inventor
양시훈
김은교
허지영
석용호
이재영
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR1020070114592A priority Critical patent/KR101403837B1/en
Publication of KR20090048530A publication Critical patent/KR20090048530A/en
Application granted granted Critical
Publication of KR101403837B1 publication Critical patent/KR101403837B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

보다 신속하고 효율적인 방법으로 보안 다이렉트 링크를 설정하는 절차와 사용자에게 보안이 되는 경로와 보안이 되지 않는 경로 중에서 어떤 경로를 통해 통신이 이루어지는지를 알려주기 위한 절차, 및 보안 다이렉트 링크를 설정한 스테이션 사이에서 보안이 지원되지 않는 엑세스 포인트를 경유하는 경로에서도 보안을 지원할 수 있는 절차에 관하여 개시한다. 본 발명의 일 실시예에 따른 무선 네트워크에서의 보안 다이렉트 링크의 설정 절차는 제1 스테이션과 제2 스테이션이 각각 엑세스 포인트와 보안 링크를 설정하는 단계, 보안 다이렉트 링크를 설정하고자 하는 상기 제1 스테이션이 상기 보안 다이렉트 링크에서 사용할 공통키를 생성하는 단계, 상기 제1 스테이션이 상기 보안 링크를 통해 상기 엑세스 포인트를 경유하여 상기 공통키를 포함하는 제1 메시지를 상기 제2 스테이션에게 전송하는 단계, 및 상기 제2 스테이션이 수신된 상기 공통키에 대하여 상기 보안 다이렉트 링크를 위한 공통키로 수용할 것인지 또는 거부할 것인지를 지시하는 결과를 포함하는 제2 메시지를 상기 제1 스테이션으로 전송하는 단계를 포함한다.A procedure for establishing a secure direct link in a faster and more efficient manner, a procedure for informing a user of a route to be secured and a route to be not secured, And discloses a procedure for supporting security even in a route via an access point where security is not supported. A procedure for establishing a secure direct link in a wireless network according to an embodiment of the present invention includes a step of establishing a secure link with an access point of a first station and a step of establishing a secure link with a second station, Generating a common key for use in the secured direct link, the first station transmitting a first message including the common key via the access point to the second station via the secure link, And transmitting a second message to the first station, the second message including a result indicating to the second station whether to accept or reject the received common key as a common key for the secure direct link.

Description

보안 다이렉트 링크의 설정 및 관리 방법{Method for establishing and managing a secure direct link between stations}[0001] METHOD FOR SETTING AND MANAGING SECURE DIRECTLINKS [0002]

본 발명은 무선랜(Wireless Local Access Network, WLAN)에 관한 것으로, 보다 구체적으로 스테이션(Station, STA)들 사이에 보안이 유지될 수 있는 다이렉트 링크(Direct Link)를 설정하는 방법과 다이렉트 링크 설정(Direct Link Setup, DLS) 링크의 사용시에 보안과 관련된 네트워크의 관리 절차에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a wireless local area network (WLAN), and more particularly, to a method of establishing a direct link between a station and a STA, Direct Link Setup (DLS) link management procedures related to security.

IEEE 802.11 표준에 따른 네트워크에서의 통신은 기본 서비스 세트(Basic Service Set, BSS)라고 불리는 영역 안에서 이루어지는 것을 전제로 한다. BSS 영역은 무선 매체의 전파 특성에 따라서 달라질 수 있기 때문에 경계가 다소 불명확하다. 이러한 BSS는 기본적으로 독립 BSS(Independent BSS, IBSS)와 인프라스트락쳐 BSS(Infrastructured BSS)의 두 가지 구성으로 분류할 수 있는데, 전자는 자기 자신이 포함된(self-contained) 네트워크를 형성하는 것으로서 분산 시스템(Distribution System, DS)으로의 접속이 허용되지 않는 BSS를 말하고, 후자는 하나 이상의 엑세스 포인트(Access Point, AP)와 분산 시스템 등을 포함하는 것으로서 일반적으로 스테이션들 사이의 통신을 포함한 모든 통신 과정에서 엑세스 포 인트가 이용되는 BSS를 말한다.It is premised that communication in the network according to the IEEE 802.11 standard is performed in an area called a basic service set (BSS). The boundary is somewhat ambiguous because the BSS region may vary depending on the propagation characteristics of the wireless medium. These BSSs can be basically divided into two types of independent BSSs (IBSSs) and Infrastructured BSSs (BSSs). The former form a self-contained network, Refers to a BSS to which a connection to a distribution system (DS) is not permitted. The latter includes one or more access points (APs) and distributed systems, and generally includes all communication processes including communication between stations Refers to the BSS in which the access point is used.

무선 네트워크에서의 종래의 통신 절차에 의하면, 일반적으로 인프라스트락쳐 BSS에서는 비AP 스테이션(Non-AP STA)들 사이에 데이터를 직접 전송하는 것을 허용하지 않으면서, 데이터의 전송을 위해서는 반드시 AP를 경유할 것을 요구하였다. 그러나 새로운 무선 네트워크에서는 서비스 품질(Quality of Service, QoS)을 갖춘 비AP 스테이션(Non-AP QSTA)들 사이의 직접 통신을 위한 다이렉트 링크 설정(Direct Link Setup, DLS) 절차에 관하여 규정하고 있다. 이에 의하면, QSTA는 QoS를 갖춘 AP(QAP) 또는 레거시(Legacy) AP를 통하여 DLS 요청(Request) 프레임 및 이에 대한 DLS 응답(Response) 프레임을 주고 받음으로써, 개시(Initiator) QSTA은 피어(Peer) QSTA과의 사이에 다이렉트 링크를 설정한다. According to conventional communication procedures in a wireless network, in general, an Infrastructure BSS does not allow data to be transmitted directly between non-AP stations (Non-AP STAs) . However, in the new wireless network, a Direct Link Setup (DLS) procedure for direct communication between non-AP stations with Quality of Service (QoS) is specified. QSTA exchanges a DLS request frame and a DLS response frame therebetween through an AP (QAP) or a legacy AP with QoS so that the initiator QSTA transmits a DLS response frame to the peer, Direct link is established with QSTA.

비AP QSTA들 사이에 다이렉트 링크를 설정할 때 참여하는 엑세스 포인트가 QAP인 경우의 다이렉트 링크 설정 절차를 일반적인 DLS 절차라고 하는데 반하여, 레거시 AP가 참여하는 경우의 다이렉트 링크 설정 절차를 TDLS(Tunneled DLS) 절차라고 한다. 그리고 일반적인 DLS 절차든 또는 TDLS 절차든, 비AP QSTA들 사이에 다이렉트 링크를 설정하면, 비AP QSTA은 AP를 경유하지 않고도 DLS 경로를 이용하여 상대방 QSTA로 직접 데이터를 전송할 수가 있다.The direct link establishment procedure when the participating access point is a QAP when the participating access point is a non-AP QSTA is referred to as a general DLS procedure, while the direct link establishment procedure when the legacy AP participates is referred to as a tunneled DLS . And establishing a direct link between the non-AP QSTAs, either the normal DLS procedure or the TDLS procedure, the non-AP QSTA can transmit data directly to the other QSTA using the DLS path without passing through the AP.

DLS 절차에 따라서 다이렉트 링크를 설정한 경우에, QSTA는 설정된 다이렉트 링크를 이용하여 데이터를 전송할 수도 있지만 종래와 마찬가지로 QAP 또는 레거시 AP를 통하여 데이터를 전송할 수도 있다. 즉, 다이렉트 링크가 설정되더라도 AP를 이용한 데이터의 전송도 함께 허용되는데, 예컨대 QSTA는 필요한 경우에 데이터 전 송을 위하여 등재된(polled) 전송 기회(Transmission Opportunity, TXOP) 등을 이용할 수 있다. 이와 같이, 두 개의 QSTA 사이에 다이렉트 링크가 설정되더라도, QSTA는 다이렉트 링크를 이용하거나(DLS 경로) 또는 엑세스 포인트를 경유하여(AP 경로) 데이터를 상대방 QSTA에게 전송할 수가 있다.When a direct link is set according to the DLS procedure, the QSTA can transmit data using a set direct link, but can also transmit data through a QAP or a legacy AP as in the conventional method. That is, even if a direct link is established, transmission of data using an AP is also allowed. For example, the QSTA may use a transmission opportunity (TXOP), etc., polled for data transmission if necessary. Thus, even if a direct link is established between the two QSTAs, the QSTA can transmit the data to the other QSTA using a direct link (DLS path) or via an access point (AP path).

그런데, DLS와 관련된 현재의 무선 네트워크에서의 절차에 의하면, AP와 STA간의 링크(이하, 'AP 링크'라고 한다)에는 보안(Security)이 보장되지 않더라도 AP에 연결된 두 STA사이의 직접 링크는 AP를 경유하는 보안 협상을 통해 보안 다이렉트 링크를 설정할 수가 있다. 즉, 기존의 다이렉트 링크 설정 절차에 의하면, QSTA들 사이에서 보안이 유지되지 않는 AP 링크를 통한 통신을 이용하여 보안이 유지되는 다이렉트 링크가 설정되기 때문에, 보안 다이렉트 링크를 설정하는 절차가 복잡하다.However, according to the procedure in the current wireless network related to the DLS, even if security is not secured in the link between the AP and the STA (hereinafter, referred to as 'AP link'), The security direct link can be established through security negotiation via the Internet. That is, according to the existing direct link establishment procedure, a procedure for setting up a secure direct link is complicated because a direct link is set to be secured by using communication over an AP link which is not secured between QSTAs.

DLS 서비스는 QSTA들을 위한 절차로써 QSTA들간의 통신에는 그 경로에 상관없이 보안을 보장할 수 있는 것이 바람직하다. 보안 다이렉트 링크를 설정하는 경우에는, 도 1에 도시된 바와 같이, AP 링크를 통한 개시 스테이션(Initiator STA)과 AP 사이 및 피어 스테이션(Peer STA)과 AP 사이의 통신에서는 보안이 유지되지 않지만, 다이렉트 링크를 통한 개시 스테이션과 피어 스테이션 사이의 통신에서는 보안이 유지되는 현상이 발생한다. 그런데 현재의 무선 네트워크에서의 절차에 의하면, 다이렉트 링크를 설정한 QSTA들은 DLS 경로와 AP 경로 중에서 선택하여 통신 을 할 수 있기 때문에, QSTA들이 AP 경로를 이용하여 통신을 하는 경우에는 보안이 유지되지 않는 문제가 발생한다. 특히, 도 2에 도시된 바와 같이, QSTA들 사이에 장애물이 존재하거나 또는 QSTA들 사이의 거리가 멀어지는 경우에는, 개시 스테이션과 피어 스테이션 사이의 통신에서는 불가피하게 AP 경로를 이용할 수 밖에 없는데, 이러한 경우에는 다이렉트 링크를 설정한 QSTA에게 예측하지 못한 손해가 발생할 수도 있다. 특히, DLS와 관련된 기존의 무선 네트워크에서의 절차에 의하면, 사용자의 입장에서는 어느 순간에 보안이 유지되고 어느 순간에 보안이 유지되지 않는지를 파악할 수 없기 때문에, QSTA들이 보안이 유지되지 않은 AP 경로를 이용하여 통신을 하는 경우에도 그러한 사실을 파악하기가 어렵다. The DLS service is a procedure for QSTAs, and it is desirable that the communication between QSTAs can guarantee security regardless of the path. In the case of establishing a secure direct link, security is not maintained in the communication between the initiator station (AP) and the AP and between the peer station (AP) and the AP via the AP link, as shown in FIG. 1, In the communication between the initiating station and the peer station via the link, security is maintained. However, according to the procedure in the current wireless network, since the QSTAs that set up the direct link can select and communicate between the DLS path and the AP path, when the QSTAs communicate using the AP path, the security is not maintained A problem arises. Particularly, as shown in FIG. 2, when an obstacle exists between the QSTAs or the distance between the QSTAs is distant, it is inevitable to use the AP path in the communication between the start station and the peer station. In this case May cause unpredictable damage to the QSTA that sets the direct link. In particular, according to the procedures in the existing wireless network related to the DLS, since the user can not know at which moment the security is maintained and the security is not maintained at any moment, QSTA It is difficult to grasp such a fact even when communication is performed by using the same.

따라서 본 발명이 해결하고자 하는 일 과제는 보다 효율적이면서 또한 간소한 방법으로 QSTA들 사이에서 보안 다이렉트 링크를 설정하는 절차를 제공하는 것이다.Accordingly, an object of the present invention is to provide a procedure for establishing a secure direct link between QSTAs in a more efficient and simple manner.

본 발명이 해결하고자 하는 다른 과제는 다이렉트 링크를 설정한 QSTA들 사이에서 보안이 유지되는 링크를 통하여 통신이 되고 있는지 또는 보안이 유지되지 않는 링크를 통하여 통신이 되지 있는지를 파악할 수 있도록 보안 다이렉트 링크를 관리하는 절차를 제공하는 것이다.Another problem to be solved by the present invention is to provide a secure direct link so that it can be determined whether communication is performed through a link maintained between the QSTAs establishing a direct link or through a link that is not secured And to provide a procedure for management.

본 발명이 해결하고자 하는 또 다른 과제는 다이렉트 링크를 설정한 QSTA들 사이에의 통신은 언제나 보안이 유지될 수 있도록 하는 보안 다이렉트 링크에서의 통신 절차를 제공하는 것이다.Another problem to be solved by the present invention is to provide a communication procedure in a secure direct link such that communication between QSTAs establishing a direct link can always be secured.

상기한 과제를 해결하기 위한 본 발명의 제1 실시예에 따른 무선 네트워크에서의 보안 다이렉트 링크의 설정 절차는 제1 스테이션과 제2 스테이션이 각각 엑세스 포인트와 보안 링크를 설정하는 단계, 보안 다이렉트 링크를 설정하고자 하는 상기 제1 스테이션이 상기 보안 다이렉트 링크에서 사용할 공통키를 생성하는 단계, 상기 제1 스테이션이 상기 보안 링크를 통해 상기 엑세스 포인트를 경유하여 상기 공통키를 포함하는 제1 메시지를 상기 제2 스테이션에게 전송하는 단계, 및 상기 제2 스테이션이 수신된 상기 공통키에 대하여 상기 보안 다이렉트 링크를 위한 공통키로 수용할 것인지 또는 거부할 것인지를 지시하는 결과를 포함하는 제2 메시지를 상기 제1 스테이션으로 전송하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method for establishing a secured direct link in a wireless network, the method comprising: establishing a secure link with an access point, Generating a common key for use by the first station to be set up on the secure direct link, the first station sending a first message including the common key via the access point to the second station via the secure link, To the first station, a second message including a result indicating that the second station will accept or reject the received common key with the common key for the secure direct link to the first station .

상기 실시예의 일 측면에 의하면, 상기 공통키는 스테이션간 마스터 키(Station-to-station Master Key, SMK)이고, 상기 제1 및 제2 메시지는 랜상의 확장형 인증 프로토콜(Extensible Authentication Protocol over LANs, EAPOL) 프레임 또는 신속 기본 서비스 세트 전이 정보 요소(Fast BSS Transition Information Element, FTIE)를 포함하는 프레임일 수 있다. 또는, 상기 공통키는 스테이션간 마스터 키(Station-to-station Master Key, SMK)이고, 상기 제1 메시지는 랜상의 확장형 인증 프로토콜(Extensible Authentication Protocol over LANs, EAPOL) 프레임 또는 신속 기본 서비스 세트 전이 정보 요소(Fast BSS Transition Information Element, FTIE)를 포함하는 프레임이고, 상기 제2 프레임은 확인 프레임(Confirm)일 수 있다.According to an aspect of the present invention, the common key is a station-to-station master key (SMK), and the first and second messages are transmitted through an Extensible Authentication Protocol over LANs (EAPOL) ) Frame or a Fast BSS Transition Information Element (FTIE). Alternatively, the common key is a station-to-station master key (SMK), and the first message is an Extensible Authentication Protocol over LANs (EAPOL) (Fast BSS Transition Information Element, FTIE), and the second frame may be a confirmation frame (Confirm).

상기한 과제를 해결하기 위한 본 발명의 제2 실시예에 따른 무선 네트워크에 서의 보안 다이렉트 링크의 관리 절차는 제1 스테이션과 제2 스테이션은 각각 보안이 지원되지 않는 엑세스 포인트 링크를 통하여 엑세스 포인트와 결합하고, 상기 제1 스테이션과 상기 제2 스테이션이 다이렉트 링크 설정(DLS) 절차를 이용하여 보안이 지원되는 보안 다이렉트 링크를 설정하며, 상기 제1 스테이션과 상기 제2 스테이션 사이의 통신 경로가 상기 엑세스 포인트 링크와 상기 보안 다이렉트 링크 사이에서 전환이 있는 경우에, 경로 전환 알림 메시지를 상기 제1 스테이션의 사용자와 상기 제2 스테이션의 사용자 중에서 적어도 하나의 사용자에게 전송한다. 이 경우에, 상기 경로 전환 알림 메시지는 피어 스테이션에 관한 정보, 전환된 경로에 관한 정보, 및 상기 경로 전환의 원인을 지시하는 정보를 포함할 수 있다.According to a second aspect of the present invention, there is provided a method for managing a secure direct link in a wireless network, the method comprising: receiving, by a first station and a second station, And establishing a secure direct link in which the first station and the second station are secured using a direct link establishment (DLS) procedure, and wherein a communication path between the first station and the second station is established by the access When there is a switch between the point link and the secure direct link, a route switching notification message to at least one user of the user of the first station and the user of the second station. In this case, the path switching notification message may include information on the peer station, information on the switched path, and information indicating the cause of the path switching.

상기한 과제를 해결하기 위한 본 발명의 제3 실시예에 따른 보안 다이렉트 링크를 갖는 무선 네트워크에서의 통신 방법은 제1 스테이션과 제2 스테이션은 각각 보안이 지원되지 않는 엑세스 포인트 링크를 통하여 엑세스 포인트와 결합하고, 상기 제1 스테이션과 상기 제2 스테이션이 다이렉트 링크 설정(DLS) 절차를 이용하여 보안이 지원되는 보안 다이렉트 링크를 설정하며, 상기 제1 스테이션과 상기 제2 스테이션 사이의 통신 경로가 상기 엑세스 포인트 링크인 경우에, 상기 제1 스테이션 또는 상기 제2 스테이션은 상기 보안 다이렉트 링크에 보안을 지원하기 위하여 사용하는 것과 동일한 암호키를 이용하여 암호화한 데이터를 포함하는 전송 프레임을 전송한다. According to another aspect of the present invention, there is provided a communication method in a wireless network having a secure direct link according to a third embodiment of the present invention, in which a first station and a second station each include an access point And establishing a secure direct link in which the first station and the second station are secured using a direct link establishment (DLS) procedure, and wherein a communication path between the first station and the second station is established by the access Point link, the first station or the second station transmits a transmission frame including data encrypted using the same encryption key as that used for securing the secure direct link.

본 발명의 일 실시예에 의하면, 보안 다이렉트 설정 절차를 시작하는 개시 스테이션이 공통키로 사용할 보안키를 내부에서 생성하고 이를 보안이 지원되는 경로를 통하여 피어 스테이션으로 전송하기 때문에, 보다 효율적이면서 또한 간소한 방법으로 스테이션들 사이에서 보안 다이렉트 링크를 설정할 수가 있다. 그리고 본 발명에서는 보안이 지원되는 경로와 보안이 지원되지 않는 경로 사이에서 데이터 전송 경로의 전환이 있을 경우에 이를 사용자에게 알려 주기 때문에, 보안 다이렉트 링크를 설정한 스테이션들 사이에서 보안이 유지되는 링크를 통하여 통신이 되고 있는지 또는 보안이 유지되지 않는 링크를 통하여 통신이 되지 있는지를 용이하게 파악할 수 있다. 또한, 본 발명에서는 보안 다이렉트 링크를 통한 통신에서 사용하는 암호키를 이용하여 암호화된 데이터를 포함하는 전송 프레임을 보안이 지원되지 않는 AP 경로를 통하여 전송하기 때문에, 결국 AP 경로를 통한 통신에서도 보안을 제공할 수가 있다.According to an embodiment of the present invention, since the initiating station that initiates the secure direct setup procedure internally generates a security key for use as a common key and transmits it to the peer station through a route that is secured, a more efficient and simpler Method can establish a secure direct link between the stations. In the present invention, when a data transmission path is switched between a path in which security is supported and a path in which security is not supported, the user is informed of the change in the data transmission path. Thus, a link in which security- It is possible to easily determine whether communication is performed through the link or through the link on which the security is not maintained. In addition, in the present invention, since a transmission frame including encrypted data is transmitted through an AP path not supported by security using a cryptographic key used in communication through a secure direct link, Can be provided.

현재의 무선랜에서의 다이렉트 링크의 관리 절차에 의하면, QSTA 간의 직접 통신을 위하여 DLS 절차에 관하여 규정하고 있는데, 상기 DLS 서비스는 원칙적으로 서비스 기능(QoS)을 지원하는 AP, 즉 QAP와 연결된 QSTA 간에만 지원된다. 하지만, QSTA 간의 직접 통신은 비록 QAP가 아닌 레거시(Legacy) AP인 경우에도 필요하기 때문에, 같은 AP에 연결된 다수의 QSTA 사이에는 상기 AP가 QoS 기능을 지원하는지에 상관없이 DLS 서비스가 이루어지도록 할 필요가 있다. According to the management procedure of the direct link in the current wireless LAN, the DLS procedure is defined for the direct communication between the QSTAs. In principle, the DLS service is an AP supporting QoS, that is, a QSTA connected to the QAP Only. However, because the direct communication between the QSTAs is required even in the case of a legacy AP other than the QAP, it is necessary to allow the DLS service to be performed between a plurality of QSTAs connected to the same AP regardless of whether the AP supports the QoS function .

이러한 새로운 DLS 서비스는 TDLS(Tunneled DLS) 서비스라고 불리는데, TDLS 서비스에서는 레거시 AP에 연결된 QSTA도 상호 간에 다이렉트 링크를 설정하고, 이 를 통하여 데이터를 주고 받을 수가 있다. TDLS에서는 AP를 경유하여 전송되는 모든 관리 프레임이 데이터 프레임의 형태로 인캡슐레이션되어 상대방 QSTA으로 전송된다. 즉, TDLS에서 레거시 AP는 단지 QSTA 사이의 통신을 중계하는 기능만을 수행하며, 다이렉트 링크의 설정이나 관리, 해제 등의 절차에 전혀 관여를 하지 않는다. 따라서 후술하는 본 발명은 QAP에 연결된 QSTA들 사이뿐만 아니라 레거시 AP에 연결된 QSTA들 사이에 설정된 TDLS의 경우에도 적용될 수 있으며, 특히 TDLS에서 보다 유용하게 적용될 수 있다. This new DLS service is called a TDLS (Tunneled DLS) service. In TDLS service, QSTA connected to a legacy AP also establishes a direct link with each other, and data can be exchanged through this. In TDLS, all management frames transmitted via the AP are encapsulated in the form of data frames and transmitted to the correspondent QSTA. That is, in TDLS, the legacy AP performs only the function of relaying the communication between the QSTAs only, and does not participate in the procedures such as setting up, managing, and releasing the direct link at all. Therefore, the present invention described below can be applied not only between the QSTAs connected to the QAP, but also in the case of the TDLS established between the QSTAs connected to the legacy AP, and more particularly, in the TDLS.

DLS 또는 TDLS 서비스에서, QSTA은 IEEE 802.11 표준의 규정을 따르는 매체 접속 제어(Medium Access Control)와 무선 매체에 대한 물리층(Physical Layer) 인터페이스를 포함하는 임의의 장치로서, DLS를 지원하는 장치이다. QSTA은 엑세스 포인트가 아닌 무선국(Non-AP Station)으로서, 각각 무선 송수신 유닛(Wireless Transmit/Receive Unit, WTRU), 사용자 장비(User Equipment, UE), 이동국(Mobile Station, MS), 또는 이동 가입자 유닛(Mobile Subscriber Unit) 등으로 불릴 수 있다. 그리고 AP는 무선국 기능을 가지며 또한 결합된 무선국(Associated Station)을 위하여 무선 매체를 경유하여 분산 서비스에 대한 접속을 제공하는 기능 개체이다. 상기 AP는 무선국 사이에 다이렉트 링크를 설정하는 것을 직접 지원할 수 있는 QAP이거나 또는 레거시 AP일 수 있다. 이러한 AP는 집중 제어기, 기지국(Base Station, BS), 노드 B, 또는 사이트 제어기 등의 명칭으로 불릴 수도 있다.In the DLS or TDLS service, the QSTA is a device that supports DLS, including any medium access control (Medium Access Control) conforming to the IEEE 802.11 standard and a physical layer interface to a wireless medium. QSTA is a non-AP station that is not an access point, and each of the QSTAs is a wireless transmit / receive unit (WTRU), a user equipment (UE), a mobile station (MS) (Mobile Subscriber Unit) or the like. The AP is a functional entity that has a radio station function and also provides a connection to a distributed service via a wireless medium for an associated station. The AP can be a QAP or a legacy AP that can directly support establishing a direct link between wireless stations. Such an AP may be referred to as a centralized controller, a base station (BS), a node B, a site controller, or the like.

본 발명의 제1 실시예는 DLS 절차를 지원하는 두 QSTA들 사이에서 보다 간단 한 방법으로 보안 다이렉트 링크를 설정하는 절차에 관한 것으로서, 도 3을 참조하여 제1 실시예를 상세하게 설명한다. 도 3은 본 발명의 제1 실시예에 따른 무선 네트워크에서의 보안 다이렉트 설정 절차를 보여 주는 메시지 흐름도이다.The first embodiment of the present invention relates to a procedure for setting up a secure direct link in a simpler way between two QSTAs supporting the DLS procedure, and the first embodiment will be described in detail with reference to Fig. 3 is a message flow diagram illustrating a secure direct setting procedure in a wireless network according to the first embodiment of the present invention.

도 3을 참조하면, 보안 다이렉트 링크를 설정하고자 하는 두 개의 비AP QSTA, 즉 개시 스테이션(Initiator STA, 10)과 상기 개시 스테이션(10)의 피어 스테이션(Peer STA, 20)은 각각 엑세스 포인트(AP, 30)와 보안 링크를 설정한다(S101). 두 개의 QSTA(10, 20)과 AP(30) 사이에 보안 링크를 설정하는 방법에는 아무런 제한이 없으며, QSTA(10, 20)과 AP(30)가 지원하는 메커니즘이라면 무선 네트워크에서 보안 링크를 설정하기 위한 어떠한 절차도 이용할 수가 있다.Referring to FIG. 3, two non-AP QSTAs, i.e., an initiator station (STA) 10 and a peer station 20 of the initiating station 10, for establishing a secure direct link, , And 30 (S101). There is no limitation on the method of establishing a secure link between the two QSTAs 10 and 20 and the AP 30. If the QSTA 10 and 20 and the AP 30 support the mechanism, Any procedure for doing so can be used.

그리고 보안이 지원되는 AP 링크를 확보한 이후에, 다이렉트 링크의 연결을 시도하는 스테이션, 즉 개시 스테이션(10)은 내부적인 프로세싱을 통하여 상기 다이렉트 링크에 보안을 지원하기 위한 보안키를 직접 생성한다(S102). 상기 보안키는 예컨대, 스테이션간 마스터 키(Station-to-station Master Key, SMK)일 수 있는데, 그 명칭은 특별한 제한이 없다. 따라서 본 발명의 제1 실시예에 의하면, 다이렉트 링크를 설정하려는 스테이션은 자체적으로 보안키, 예컨대 SMK를 생성하는 기능을 지원해야 한다.After securing a secured AP link, a station attempting to establish a direct link, i.e., the initiating station 10, directly generates a security key for supporting security for the direct link through internal processing S102). The security key may be, for example, a station-to-station master key (SMK), the name of which is not particularly limited. Therefore, according to the first embodiment of the present invention, the station to which the direct link is to be set must itself support the function of generating a security key, for example, SMK.

계속해서 개시 스테이션(10)은 생성된 SMK를 피어 스테이션(20)에게 전송한다(S103). 본 실시예에 의하면, 개시 스테이션(10)과 피어 스테이션(20) 사이에는 아직 다이렉트 링크가 설정되어 있지 않거나 또는 설정되어 있다고 하더라도 보안이 지원되지 않으므로, 개시 스테이션(10)은 보안 링크인 AP 링크를 이용하여 SMK 를 AP(30)에게 전송하고, 또한 AP(30)는 역시 보안 링크인 AP 링크를 이용하여 SMK를 피어 스테이션(20)으로 전송한다. Subsequently, the initiating station 10 transmits the generated SMK to the peer station 20 (S103). According to the present embodiment, since the security is not supported even if a direct link is not yet established or is set between the start station 10 and the peer station 20, the start station 10 can use the AP link as a secure link To the AP 30, and the AP 30 also transmits the SMK to the peer station 20 using the AP link, which is also a secure link.

본 단계에서 개시 스테이션(10)이 피어 스테이션(20)에게로 SMK를 전송할 경우에, SMK는 랜상의 확장형 인증 프로토콜(Extensible Authentication Protocol over LANs, EAPOL) 프레임이나 신속 기본 서비스 세트 전이 정보 요소(Fast BSS Transition Information Element, FTIE)를 포함하는 프레임에 포함시켜서 전송할 수 있다. EAPOL 프레임을 이용하는 경우에, 개시 스테이션(10)은, 예컨대 EAPOL-Key (1, 1, 0, 1, 0, 1, 0, PNonce, MIC, MAC_I KDE, INonce, KDE, SMK KDE, Lifetime KDE) 프레임을 AP(30)를 경유하여 피어 스테이션(20)에게 전송할 수 있다. 그리고 FTIE를 포함하는 프레임을 이용하는 경우에, 개시 스테이션(10)은, 예컨대 FTIE(0, 0, 0, INonce, MAC_I, BSSID, SMK, Lifetime)를 포함하는 프레임을 AP(30)를 경유하여 피어 스테이션(20)에게로 전송할 수 있다.In this step, when the initiating station 10 transmits the SMK to the peer station 20, the SMK transmits an Extensible Authentication Protocol over LANs (EAPOL) frame or a Fast Basic Service Set Transition Information Element Transition Information Element (FTIE). In the case of using the EAPOL frame, the initiating station 10 transmits the EAPOL-Key (1, 1, 0, 1, 0, 1, 0, PNonce, MIC, MAC_I KDE, INonce, KDE, SMK KDE, Frame to the peer station 20 via the AP 30. In the case of using a frame including FTIE, the initiating station 10 transmits a frame including, for example, FTIE (0, 0, 0, INonce, MAC_I, BSSID, SMK, Lifetime) To the station (20).

EAPOL-Key (S, M, A, I, K, SM, KeyRSC, ANonce/Snonce, MIC, DataKDs, Data) 프레임에서, 각 항목은 다음과 같은 정보를 가리킨다. 첫 번째에 위치하는 'S'는 최초의 키 교환이 완료되었는지를 지시하는 것으로서, 키 정보 필드(Key Information Field)의 보안 비트이다. 두 번째에 위치하는 'M'은 상기 프레임에서 메시지 무결성 체크(Message Integrity Check)가 이용 가능한지를 지시하는 것으로서, 키 정보 필드의 키 MIC 비트이다. 세 번째에 위치하는 'A'는 상기 프레임에 대한 응답이 반드시 필요한지를 지시하는 것으로서, 키 정보 요소 필드의 키 확인(Key Ack) 비트이다. 네 번째에 위치하는 'I'는 한 쌍의 키(Pairwise Key)에 대 한 인스톨(Install) 여부를 지시하는 것으로서, 키 정보 요소의 인스톨 비트이다. 다섯 번째에 위치하는 'K'는 키 유형을 지시하는 것으로서, 키 정보 요소의 키 유형 비트이다. 키 유형으로서, 예컨대 P는 'pairwise', G는 'Group/SMK'를 지시할 수 있다. 여섯 번째에 위치하는 'SM'은 해당 메시지가 SML 핸드쉐이크(Handshake)의 일부인지를 지시하기 위한 것으로서, 키 정보 요소의 SMK 메시지 비트이다. 일곱 번째에 위치하는 'KeyRSC'는 키 수신 시퀀스 카운터(Receive Sequence Counter, RSC)의 값을 설정하기 위한 것으로서, 키 정보 요소의 키 수신 시퀀스 카운터 필드이다. 여덟 번째에 위치하는 'ANonce/SNonce'는 인증자 논스(Authenticator Nonce)인지 제공자 논스(Supplicant Nonce)인지를 가리키기 위한 것으로서, 키 논스 필드(Key Nonce Field)이다. 아홉 번째에 위치하는 'MIC'는 메시지 무결성 체크(Message Integrity Check)인데, KCK(EAPOL-Key Confirmation Key)를 이용하여 생성되는 것으로서, 키 메시지 무결성 체크(Key MIC) 필드이다. 열 번째에 위치하는 'DataKDs'는 해당 키에 포함되어 있는 0개 또는 그 이상의 정보 요소 및 키 데이터 인캡슐레이션(Key Data Encapsulation, KDE)의 시퀀스를 가리킨다. 그리고 마지막에 위치하는 'Data' 필드는 도 4에 표시되어 있는 것과 같은 정보 요소들을 더 포함할 수도 있다. In the EAPOL-Key (S, M, A, I, K, SM, KeyRSC, ANonce / Snonce, MIC, DataKDs, Data) frames, each item indicates the following information. The first 'S' indicates the completion of the first key exchange, and is a security bit of the key information field. The second 'M' indicates whether Message Integrity Check is available in the frame, and is the key MIC bit of the key information field. The third 'A' indicates whether a response to the frame is indispensable and is a key acknowledge bit of the key information element field. The fourth 'I' indicates whether or not to install a pair of keys. It is an installed bit of the key information element. The fifth 'K' indicates the key type, which is the key type bit of the key information element. As a key type, for example, P may indicate 'pairwise' and G may indicate 'Group / SMK'. The sixth 'SM' is for indicating that the message is part of the SML handshake and is the SMK message bit of the key information element. The 'KeyRSC' located at the seventh position is a field for setting the value of the Receive Sequence Counter (RSC), and is a key receiving sequence counter field of the key information element. The 'ANonce / SNonce' located at the eighth position is a key nonce field for indicating whether it is an authenticator nonce or a supplicant nonce. The 'MIC' located at the ninth position is a message integrity check, which is generated using KCK (EAPOL-Key Confirmation Key), and is a key message integrity check (Key MIC) field. The 'DataKDs' located at the tenth point indicate the sequence of Key Data Encapsulation (KDE) and zero or more information elements contained in the key. And the last 'Data' field may further include information elements such as those shown in FIG.

그리고 FTIE(MIC Control, MIC, INonce/PNonce, Optional Parameter)에서 각 항목은 다음과 같은 정보를 가리킨다. 첫 번째에 위치하는 'MIC Control'은 MIC 계산에서 포함되어 있는 정보 요소의 수를 가리키는데, 만일 그 값이 '0'인 경우에는 MIC가 존재하지 않는다는 것을 나타낸다. 두 번째에 위치하는 'MIC'는 메시지 무결 성 체크를 나타내며, 세 번재에 위치하는 'INonce/Pnonce'는 인디케이터 논스(Indicator Nonce)인지 피어 논스(Peer Nonce)인지를 나타내기 위한 것이다. 그리고 마지막에 위치하는 'Optional Parameter'는 0개 또는 그 이상의 정보 필드의 시퀀스를 위한 것이다. 예를 들어, 'Optional Parameter'는 SMK 핸드쉐이크 동안에 인캡슐레이션된 SMK를 포함할 수도 있다.And in FTIE (MIC Control, MIC, INonce / PNonce, Optional Parameter), each item indicates the following information. The first 'MIC Control' indicates the number of information elements included in the MIC calculation. If the value is '0', it indicates that the MIC does not exist. The second 'MIC' indicates message integrity check, and the 'INonce / Pnonce' located in the third field indicates whether it is an indicator nonce or a peer nonce. The last 'Optional Parameter' is for a sequence of zero or more information fields. For example, an 'Optional Parameter' may include an SMK encapsulated during an SMK handshake.

계속해서 도 3을 참조하면, 개시 스테이션(10)으로부터 보안키(예컨대, SMK)를 수신한 피어 스테이션(20)은 수신된 보안키를 공통키로 받아들일 경우에는 이를 메모리에 저장한다(S104). 그러나, 수신된 보안키를 거부할 경우에는 이를 저장할 필요는 없다. 이와 같이, 본 발명의 실시예에 의하면, 피어 스테이션(20)은 전달받은 보안키에 대해서 개시 스테이션(10)과의 사이에서 설정되는 보안 다이렉트 링크에서 사용할 보안키로 받아들일지 여부만을 결정하고 또한 이를 받아들일 경우에는 저장하기 때문에, 보안키를 생성하기 위하여 별도의 알고리즘을 수행하거나 또는 개시 스테이션(10)과 정보를 주고 받을 필요가 없기 때문에 절차가 매우 간단하다. 3, when the peer station 20 receives a security key (e.g., SMK) from the initiating station 10, the peer station 20 stores the received security key as a common key in a memory (S104). However, if the received security key is rejected, it is not necessary to store it. As described above, according to the embodiment of the present invention, the peer station 20 determines whether or not to accept the received security key as a security key to be used in the secure direct link established with the initiating station 10, The procedure is very simple since there is no need to perform a separate algorithm to generate a security key or to exchange information with the initiating station 10.

그리고 보안키를 수신한 피어 스테이션(20)은 수신된 보안키에 대한 처리 결과, 즉 공통키로 받아들이는지 또는 거부하는지를 지시하는 정보가 포함된 메시지를 AP(30)를 경유하여 개시 스테이션(10)으로 전송한다(S105). 이와 같이, 본 발명의 실시예에 의하면, 메시지도 AP(20)를 경유하는 보안 링크를 통하여 전송되는데, 수신된 보안키를 공통키로 받아들이기로 한 경우에는 성공적으로 공통키를 갖게 되었다는 사실을 알리는 정보가 메시지에 포함되지만, 수신된 보안키를 거부할 경우에는 실패를 지시하는 정보가 메시지에 포함된다.The peer station 20 having received the security key transmits a message including information indicating whether the processing result of the received security key is accepted, that is, accepting or rejecting it as a common key, to the initiating station 10 via the AP 30 (S105). As described above, according to the embodiment of the present invention, the message is also transmitted through the secure link via the AP 20. When the received security key is to be received as a common key, information indicating that the common key is successfully acquired Is included in the message, but when the received security key is rejected, information indicating failure is included in the message.

상기 메시지의 종류는 SMK가 어떤 메시지에 포함되어 전송되었는지에 따라서 달라지거나 또는 확인 메시지(Confirm) 등이 될 수 있다. 예를 들어, SMK가 EAPOL-Key (1, 1, 0, 1, 0, 1, 0, PNonce, MIC, MAC_I KDE, INonce, KDE, SMK KDE, Lifetime KDE) 프레임에 포함되어 전송된 경우에는 상기 확인 프레임은 EAPOL-Key (1, 1, 0, 0, 0, 1, 0, INonce, MIC, RSNIE_P, MAC_P_KDE, PNonce KDE, SMK KDE, Lifetime KDE) 프레임의 형태로 전송될 수 있다. 그리고 SMK가 FTIE (0, 0, 0, INonce, MAC_I, BSSID, SMK, Lifetime)의 형태로 전송된 경우에는 상기 확인 프레임은 FTIE (7, MIC, PNonce/INonce, MAC_I, MAC_P, BSSID, SMK, Lifetime)의 형태로 전송될 수 있다.The type of the message may be changed depending on a message included in the SMK message or may be a confirmation message (Confirm). For example, when SMK is included in an EAPOL-Key (1, 1, 0, 1, 0, 1, 0, PNonce, MIC, MAC_I KDE, INonce, KDE, SMK KDE, Lifetime KDE) The confirmation frame can be transmitted in the form of EAPOL-Key (1, 1, 0, 0, 0, 1, 0, INonce, MIC, RSNIE_P, MAC_P_KDE, PNonce KDE, SMK KDE, Lifetime KDE) frame. When the SMK is transmitted in the form of FTIE (0, 0, 0, INonce, MAC_I, BSSID, SMK, Lifetime), the confirmation frame is FTIE (7, MIC, PNonce / INonce, MAC_I, MAC_P, BSSID, SMK, Lifetime "). ≪ / RTI >

개시 스테이션(10)이 보안 링크가 설정되어 있는 AP(30)를 경유하여 보안키, 예컨대 'SMK'를 피어 스테이션(20)에게 전송하고, 또한 피어 스테이션(20)이 수신된 'SMK'를 공통키로 받아들여서 그러한 의사가 포함되어 있는 확인 메시지를 역시 보안 링크가 설정되어 있는 AP(30)를 경유하여 개시 스테이션(10)으로 전송하면, 개시 스테이션(10)과 피어 스테이션(20) 사이에는 보안 다이렉트 링크가 설정된다(S106). 그리고 피어 스테이션(10)이 수신된 SMK를 보안키로 받아들이기를 거절할 경우에는, 보안 다이렉트 링크가 설정되지 않는다.SMK 'to the peer station 20 via the AP 30 where the secure link is set up and the peer station 20 also transmits the received SMK to the common A confirmation message including such a request is transmitted to the initiating station 10 via the AP 30 in which the secure link is set up so that a secure direct connection is established between the initiating station 10 and the peer station 20. [ A link is established (S106). And the peer station 10 refuses to accept the received SMK as a security key, a secure direct link is not established.

도 5는 제1 실시예의 일 측면에 따른 무선 네트워크에서의 보안 다이렉트 링크의 설정 절차를 보여 주는 메시지 흐름도이다. 도 5를 참조하면, 제1 실시예의 첫 번째 예는 개시 스테이션(10)이 EAPOL-KEY 프레임 또는 FTIE를 포함하는 프레임을 이용하여 피어 스테이션(20)에게 SMK를 전송하며, 피어 스테이션(20)은 수신된 SMK에 대한 처리 결과를 역시 EAPOL-KEY 프레임 또는 FTIE를 포함하는 프레임에 포함시켜서 개시 스테이션(10)으로 전송하는 경우이다.5 is a message flow diagram illustrating a procedure for setting up a secure direct link in a wireless network according to an aspect of the first embodiment; 5, the first example of the first embodiment is that the initiating station 10 sends an SMK to the peer station 20 using a frame containing an EAPOL-KEY frame or FTIE, and the peer station 20 The processing result for the received SMK is also included in the frame including the EAPOL-KEY frame or the FTIE and transmitted to the start station 10.

도 6은 제1 실시예의 다른 측면에 따른 무선 네트워크에서의 보안 다이렉트 링크의 설정 절차를 보여 주는 메시지 흐름도이다. 도 6을 참조하면, 제1 실시예의 두 번째 예는 개시 스테이션(10)이 EAPOL-KEY 프레임을 이용하여 피어 스테이션(20)에게 SMK를 전송하지만, 피어 스테이션(20)은 수신된 SMK에 대한 처리 결과를 확인 프레임(Confirm)에 포함시켜서 개시 스테이션(10)으로 전송하는 경우이다.6 is a message flow diagram illustrating a procedure for setting up a secure direct link in a wireless network according to another aspect of the first embodiment. 6, the second example of the first embodiment shows that the initiating station 10 transmits the SMK to the peer station 20 using the EAPOL-KEY frame, but the peer station 20 does not process the received SMK And transmits the result to the start station 10 by including it in the confirmation frame (Confirm).

도 7은 제1 실시예의 또 다른 측면에 따른 무선 네트워크에서의 보안 다이렉트 링크의 설정 절차를 보여 주는 메시지 흐름도이다. 도 7을 참조하면, 제1 실시예의 세 번째 예는 개시 스테이션(10)이 FTIE를 포함하는 프레임을 이용하여 피어 스테이션(20)에게 SMK를 전송하며, 피어 스테이션(20)은 수신된 SMK에 대한 처리 결과를 확인 프레임(Confirm)에 포함시켜서 개시 스테이션(10)으로 전송하는 경우이다.7 is a message flow diagram illustrating a procedure for setting up a secure direct link in a wireless network according to another aspect of the first embodiment. 7, the third example of the first embodiment is that the initiating station 10 sends a SMK to the peer station 20 using a frame containing the FTIE, and the peer station 20 sends a SMK for the received SMK And the processing result is included in the confirmation frame (Confirm) and transmitted to the start station 10.

이상에서 상세하게 설명한 바와 같이, 본 발명의 제1 실시예에서는 비록 무선이지만 보안 링크를 통하여 개시 스테이션(10)이 SMK를 피어 스테이션(20)에게 전송하고 또한 이에 대한 응답으로 확인 프레임을 전송하기 때문에, SMK를 안전하게 보호한 상태로 전달할 수가 있다. 그리고 본 발명의 제1 실시예에서는 개시 스테이션(10)에서 보안키를 직접 생성을 하며, 또한 피어 스테이션(20)은 수신된 보안키를 공통키로 수용할 것인지 만을 결정하기 때문에, 보안이 되지 않는 링크를 통하여 디피-헬만 키(Diffie-Hellman Key)를 개시 스테이션과 피어 스테이션이 상 호 교환하여 각각 소정의 알고리즘에 따라서 계산을 수행하여 공통키인 보안키를 생성하는 기존의 보안 다이렉트 링크의 설정 절차와 비교하여 절차가 매우 간단하며 효율적이다.As described in detail above, in the first embodiment of the present invention, since the initiating station 10 transmits a SMK to the peer station 20 via a secure link and transmits a confirmation frame in response thereto, , SMK can be transmitted safely and safely. In the first embodiment of the present invention, the security key is generated directly at the initiating station 10, and since the peer station 20 only decides whether to accept the received security key as a common key, A secure direct link establishment procedure for exchanging a Diffie-Hellman key between the initiating station and the peer station via the Diffie-Hellman key to generate a security key, which is a common key, By comparison, the procedure is very simple and efficient.

본 발명의 제2 실시예는 다이렉트 링크를 설정한 두 QSTA들 사이에서 보안이 지원되는 제1 경로와 보안이 지원되지 않는 제2 경로 사이에서 통신 경로의 변경이 있을 경우에, 사용자가 이를 용이하게 알 수 있도록 하는 다이렉트 링크의 관리 절차에 관한 것이다. TDLS 절차에 따라서 다이렉트 링크를 설정한 경우에, 보안이 지원되는 제1 경로는 제1 스테이션과 제2 스테이션이 직접 통신하는 DLS 경로이고, 보안이 지원되지 않는 제2 경로는 제1 스테이션과 제2 스테이션이 AP를 경유하여 통신을 하는 AP 경로일 수 있는데, 여기에만 한정되는 것은 아니다.The second embodiment of the present invention allows a user to easily change the communication path between the first path in which security is supported between the two QSTAs establishing the direct link and the second path in which security is not supported And to manage the direct link so that the user knows. In the case of establishing a direct link according to the TDLS procedure, the first path for which security is supported is a DLS path in which the first station and the second station directly communicate, and the second path for which security is not supported, The station may be an AP path that communicates via the AP, but is not so limited.

이러한 본 발명의 제 2 실시예는, 예컨대 AP와는 보안이 되지 않는 연결을 가진 제1 스테이션과 제2 스테이션이 DLS 절차를 사용하여 서로 간에 보안 다이렉트 링크를 설정한 경우에 적용될 수 있다. 즉, 제1 스테이션이 제2 스테이션에게 데이터를 전송하고자 할 경우에, 해당 데이터가 보안이 되는 DLS 경로를 통해 제2 스테이션에게 전송되는지 또는 보안이 되지 않는 AP 경로를 통해 제2 스테이션에게 전송되는지 사용자가 알 수 있도록 함으로써, 보안 경로를 통해 데이터를 전송하고자 하는 사용자가 예상하지 못한 정보 유출이 발생하는 문제를 방지할 수 있다. The second embodiment of the present invention can be applied, for example, in the case where the first station and the second station having a connection which is not secure with the AP establish a secure direct link with each other using the DLS procedure. That is, when the first station wants to transmit data to the second station, whether the data is transmitted to the second station through the secure DLS path or to the second station through the unsecured AP path, It is possible to prevent a problem that an unexpected information outflow occurs by a user who wants to transmit data through a secure path.

본 실시예에서는 전송되는 데이터가 보안 경로를 통해서 전송되는지 또는 보안이 되지 않는 경로를 통해서 전송되는지를 알 수 있도록 경로 전환 알림 메시 지(Path Switch Notification Message)를 정의한다. 상기 경로 전환 알림 메시지는 경로의 전환이 있을 경우에 그 사실을 사용자에게 알려주기 위한 메시지로써, 예컨대 MLME-DLSPATHSWITCH.indication.primitive 일 수 있는데, 여기에만 한정되는 것은 아니다.In this embodiment, a Path Switch Notification Message is defined in order to know whether the transmitted data is transmitted through a secure path or an unsecured path. The path change notification message is a message for informing the user of the change of the path, for example, MLME-DLSPATHSWITCH.indication.primitive, but is not limited thereto.

이러한 경로 전환 알림 메시지는 피어 스테이션에 관한 정보, 경로 정보, 및 원인 정보 등을 포함할 수 있다. 피어 스테이션에 관한 정보(예, PeerSTAAddress)는 다이렉트 링크의 상대방이 어떤 스테이션인지를 알려 주기 위한 것으로서, 예컨대 피어 스테이션의 매체 접속 제어(Medium Access Control, MAC) 주소일 수 있다. 경로 정보(예, PathInformation)는 전환되는 경로가 DLS 경로인지 또는 AP 경로인지를 지시하기 위한 것이다. 그리고 원인 정보(예, ReasonCode)는 경로 변경을 하는 원인을 지시하는 것이다. 또한, 실시예에 따라서는 상기한 정보 이외에 벤더 고유의 정보가 경로 전환 알림 메시지에 더 포함될 수도 있다.Such a path switching notification message may include information on the peer station, path information, cause information, and the like. The information about the peer station (e.g., PeerSTAAddress) is for informing which station the other party of the direct link is, and may be, for example, a medium access control (MAC) address of the peer station. The path information (e.g., PathInformation) is for indicating whether the path to be switched is the DLS path or the AP path. And the cause information (eg, ReasonCode) indicates the cause of the path change. In addition, depending on the embodiment, vendor-specific information may be further included in the path switching notification message in addition to the above-described information.

본 발명의 제3 실시예는 AP와는 보안이 되지 않는 연결을 가진 제1 스테이션과 제2 스테이션이 DLS 절차를 사용하여 서로 간에 보안 다이렉트 링크를 설정한 경우에, DLS 경로는 물론 AP 경로를 통하여 데이터를 전송하는 경우에도 보안을 제공하기 위한 보안 다이렉트 링크를 갖는 무선 네트워크에서의 데이터 통신 방법에 관한 것이다. 그리고 본 발명의 제3 실시예에서는 AP 경로에 보안을 제공하는 방법으로서, 보안 다이렉트 링크를 생성할 때 만든 보안키(예컨대, SMK)를 사용하여, 전송하고자 하는 데이터를 암호화한 다음, 암호화된 데이터를 소정의 전송 프레임 에 삽입하여 전송한다.In the third embodiment of the present invention, when a first station and a second station having a non-secured connection with an AP establish a secure direct link between them using the DLS procedure, The present invention relates to a data communication method in a wireless network having a secure direct link for providing security even when transmitting data. In the third embodiment of the present invention, a method of providing security to an AP path includes encrypting data to be transmitted using a security key (e.g., SMK) created when a secure direct link is created, Into a predetermined transmission frame and transmits the same.

도 8은 보안 다이렉트 링크를 생성할 때 만든 보안키를 사용하여 암호화한 데이터를 전송하기 위한 '전송 프레임'의 포맷의 일례를 보여 주는 블록도이다. 상기 전송 프레임의 포맷은 TDLS 프레임의 포맷과 유사할 수 있지만, 본 실시예가 여기에만 한정되는 것은 아니다.8 is a block diagram showing an example of a format of a 'transmission frame' for transmitting encrypted data using a security key created when a secure direct link is created. The format of the transmission frame may be similar to the format of the TDLS frame, but the present embodiment is not limited thereto.

도 8을 참조하면, 전송 프레임(200)은 헤더 필드(Header, 210), 프레임 유형 필드(Frame Type, 220), TDLS 패킷 유형 필드(TDLS Packet Type, 230), 및 정보 필드(Information, 240)를 포함한다. 헤더 필드(210)는 프레임 헤더 정보를 포함하는데, 예컨대 논리 링크 제어(Logical Link Control, LLC)/서브-네트워크 접속 프로토콜(Sub-Network Access Protocol, SNAP)에 정의되어 있는 헤더 정보가 포함될 수 있다. 프레임 유형 필드(220)는 예컨대 TDLS라는 것을 지시하는 값으로 설정될 수 있다. 그리고 TDLS 패킷 유형 필드(230)는 TDLS 프레임의 유형을 지시하기 위한 것으로서, 기존의 TDLS 절차에 정의되어 있는 TDLS 프레임 유형 중의 어느 하나가 이용되거나 또는 정보 필드(240)에 포함되어 있는 데이터가 암호화되었음을 나타내기 위하여 TDLS 프레임 유형을 새롭게 정의할 수도 있다. 예컨대, 새롭게 정의되는 TDLS 프레임 유형은 "TDLS RSNA(Robust Security Network Association) DATA"일 수 있다. 그리고 정보 필드(240)에는 보안 다이렉트 링크를 통한 통신에서 데이터를 암호화하기 위해 사용하는 보안키(예컨대, SMK)를 이용하여 암호화된 데이터가 포함된다.8, the transmission frame 200 includes a header field 210, a frame type field 220, a TDLS packet type field 230, and an information field 240, . The header field 210 includes frame header information, and may include header information defined in, for example, Logical Link Control (LLC) / Sub-Network Access Protocol (SNAP). The frame type field 220 may be set to a value indicating, for example, TDLS. The TDLS packet type field 230 is used to indicate the type of the TDLS frame. The TDLS packet type field 230 indicates that either one of the TDLS frame types defined in the existing TDLS procedure is used, or the data included in the information field 240 is encrypted It is also possible to newly define the TDLS frame type to indicate. For example, the newly defined TDLS frame type may be "TDLS Robust Security Network Association (RSNA) DATA ". The information field 240 includes encrypted data using a security key (e.g., SMK) used for encrypting data in a communication via a secure direct link.

이와 같이, 본 발명의 제3 실시예에서는 보안 다이렉트 링크를 통한 통신에 서 데이터를 암호화하기 위해 사용하는 보안키를 이용하여 암호화된 데이터를 소정의 포맷을 갖는 전송 프레임(예컨대, TDLS 프레임)에 포함시켜서 전송한다. 따라서 본 발명의 제3 실시예에 의하면, 비록 AP 링크를 위한 보안 수단은 없지만, 보안 다이렉트 링크를 설정한 피어 스테이션이 AP 링크를 통해서 통신을 하는 경우에도, 보안을 제공하는 것이 가능하다.As described above, in the third embodiment of the present invention, encrypted data is included in a transmission frame (for example, a TDLS frame) having a predetermined format by using a security key used for encrypting data in communication via a secure direct link And transmits them. Therefore, according to the third embodiment of the present invention, although there is no security means for AP link, it is possible to provide security even when a peer station establishing a secure direct link communicates through an AP link.

이상에서 상세하게 설명한 본 발명의 실시예는 단지 본 발명의 기술 사상을 보여주기 위한 예시적인 것으로서, 상기 실시예에의 의하여 본 발명의 기술 사상이 한정되는 것으로 해석되어서는 안된다. 본 발명의 보호 범위는 후술하는 본 발명의 특허청구범위에 의하여 특정된다.The embodiments of the present invention, which have been described in detail above, are merely illustrative and are not to be construed as limiting the scope of the present invention. The protection scope of the present invention is specified by the claims of the present invention described later.

도 1은 개시 스테이션과 피어 스테이션 사이의 DLS 경로는 보안이 유지되지만, AP 경로는 보안이 유지되지 않는다는 것을 도식적으로 보여 주는 도면이다.Figure 1 is a diagram schematically illustrating that the DLS path between the initiating station and the peer station is secured, but the AP path is not secured.

도 2는 개시 스테이션과 피어 스테이션 사이에 장애물이 존재하는 경우에 보안이 지원되지 않는 AP 경로를 이용하여 통신할 수 밖에 없다는 것을 도식적으로 보여 주는 도면이다.FIG. 2 is a diagram schematically illustrating that, in the presence of an obstacle between a start station and a peer station, communication can only be made using an AP path that is unsecured.

도 3은 본 발명의 제1 실시예에 따른 무선 네트워크에서의 보안 다이렉트 설정 절차를 보여 주는 메시지 흐름도이다.3 is a message flow diagram illustrating a secure direct setting procedure in a wireless network according to the first embodiment of the present invention.

도 4는 EAPOL-Key (S, M, A, I, K, SM, KeyRSC, ANonce/Snonce, MIC, DataKDs, Data) 프레임의 'Data' 필드에 포함되는 정보의 일례를 보여 주는 도면이다.FIG. 4 is a diagram illustrating an example of information included in a 'Data' field of an EAPOL-Key (S, M, A, I, K, SM, KeyRSC, ANonce / Snonce, MIC, DataKDs,

도 5는 본 발명의 제1 실시예에 따른 무선 네트워크에서의 보안 다이렉트 설정 절차의 첫 번째 예를 보여 주는 메시지 흐름도이다.5 is a message flow diagram illustrating a first example of a secure direct setting procedure in a wireless network according to the first embodiment of the present invention.

도 6은 본 발명의 제1 실시예에 따른 무선 네트워크에서의 보안 다이렉트 설정 절차의 두 번째 예를 보여 주는 메시지 흐름도이다.6 is a message flow diagram illustrating a second example of a secure direct setting procedure in a wireless network according to the first embodiment of the present invention.

도 7은 본 발명의 제1 실시예에 따른 무선 네트워크에서의 보안 다이렉트 설정 절차의 세 번째 예를 보여 주는 메시지 흐름도이다.7 is a message flow diagram illustrating a third example of a secure direct setting procedure in a wireless network according to the first embodiment of the present invention.

도 8은 보안 다이렉트 링크를 생성할 때 만든 보안키를 사용하여 암호화한 데이터를 전송하기 위한 '전송 프레임'의 포맷의 일례를 보여 주는 블록도이다.8 is a block diagram showing an example of a format of a 'transmission frame' for transmitting encrypted data using a security key created when a secure direct link is created.

Claims (6)

무선랜 시스템에서 보안 프로토콜을 위한 TDLS(Tunneled Direct Link Setup) 다이렉트 링크를 설정하는 방법에 있어서,A method of establishing a TDLS (Tunneled Direct Link Setup) direct link for a security protocol in a wireless LAN system, 개시 스테이션이 피어 스테이션으로 RSN(Robust Security Network) 정보 요소 및 상기 개시 스테이션에 의해 생성되는 제공자 논스(Supplicant Nonce)를 포함하는 논스 필드를 포함하는 제1 메시지를 전송하는 단계; Transmitting a first message comprising a nonce field comprising a Robust Security Network (RSN) information element and a Supplicant Nonce generated by the initiating station to a peer station; 상기 개시 스테이션이 상기 피어 스테이션으로부터 상기 피어 스테이션에 의해 생성되는 인증자 논스(Authenticator Nonce)를 포함하는 논스 필드를 포함하는 제2 메시지를 수신하는 단계; 및Receiving, by the initiating station, a second message comprising a nonce field comprising an authenticator nonce generated by the peer station from the peer station; And 상기 제2 메시지를 수신한 후에 상기 개시 스테이션이 상기 피어 스테이션과 상기 보안 프로토콜이 설정된 TDLS 다이렉트 링크를 확립하는 단계를 포함하되,And after the second message is received, establishing a TDLS direct link with which the initiating station establishes the security protocol with the peer station, 상기 제공자 논스와 상기 인증자 논스를 기반으로 보안키가 생성되는 TDLS 다이렉트 링크 설정 방법.And a security key is generated based on the provider nonce and the authenticator nonce. 삭제delete 제1항에 있어서, 상기 제1 메시지는 신속 기본 서비스 세트 전이 정보 요소(Fast BSS Transition Information Element, FTIE)를 포함하고, 상기 FTIE는 상기 논스 필드 및 수명 필드(lifetime)를 포함하는 것을 특징으로 하는 TDLS 다이렉트 링크 설정 방법.2. The method of claim 1, wherein the first message comprises a Fast BSS Transition Information Element (FTIE) and the FTIE comprises the nonce field and a lifetime. TDLS Direct link setting method. 제1항에 있어서, 상기 개시 스테이션과 상기 피어 스테이션은 동일한 액세스 포인트에 연결되고,2. The method of claim 1, wherein the initiating station and the peer station are connected to the same access point, 상기 제1 메시지 및 상기 제2 메시지는 상기 액세스 포인트를 통해 송수신되는 것을 특징으로 하는 TDLS 다이렉트 링크 설정 방법.Wherein the first message and the second message are transmitted and received through the access point. 무선랜 시스템에서 보안 프로토콜을 위한 TDLS(Tunneled Direct Link Setup) 다이렉트 링크를 설정하는 스테이션에 있어서,1. A station for establishing a TDLS (Direct Link Setup) for a security protocol in a wireless LAN system, 피어 스테이션으로 RSN(Robust Security Network) 정보 요소 및 개시 스테이션에 의해 생성되는 제공자 논스(Supplicant Nonce)를 포함하는 논스 필드를 포함하는 제1 메시지를 전송하는 전송기; 및 A transmitter for transmitting a first message including a non-field including a Robust Security Network (RSN) information element to a peer station and a Supplicant Nonce generated by a starting station; And 상기 피어 스테이션으로부터 상기 피어 스테이션에 의해 생성되는 인증자 논스(Authenticator Nonce)를 포함하는 논스 필드를 포함하는 제2 메시지를 수신하는 수신기를 포함하되,And a receiver for receiving a second message including a nonce field including an authenticator nonce generated by the peer station from the peer station, 상기 제2 메시지를 수신한 후에 상기 스테이션이 상기 피어 스테이션과 상기 보안 프로토콜이 설정된 TDLS 다이렉트 링크를 확립하고,After receiving the second message, the station establishes a TDLS direct link in which the security protocol is established with the peer station, 상기 제공자 논스와 상기 인증자 논스를 기반으로 보안키가 생성되는 것을 특징으로 하는 스테이션.Wherein the secure key is generated based on the provider nonce and the authenticator nonce. 무선랜 시스템에서 보안 프로토콜을 위한 TDLS(Tunneled Direct Link Setup) 다이렉트 링크를 설정하는 스테이션에 있어서,1. A station for establishing a TDLS (Direct Link Setup) for a security protocol in a wireless LAN system, 개시 스테이션으로부터 RSN(Robust Security Network) 정보 요소 및 상기 개시 스테이션에 의해 생성되는 제공자 논스(Supplicant Nonce)를 포함하는 논스 필드를 포함하는 제1 메시지를 수신하는 수신기; 및 A receiver for receiving a first message comprising a non-field including a Robust Security Network (RSN) information element from a initiating station and a Supplicant Nonce generated by the initiating station; And 상기 스테이션에 의해 생성되는 인증자 논스(Authenticator Nonce)를 포함하는 논스 필드를 포함하는 제2 메시지를 상기 개시 스테이션으로 전송하는 전송기를 포함하되,And a transmitter for transmitting a second message to the initiating station, the second message comprising a nonce field comprising an authenticator nonce generated by the station, 상기 제2 메시지를 수신한 후에 상기 스테이션이 상기 개시 스테이션과 상기 보안 프로토콜이 설정된 TDLS 다이렉트 링크를 확립하고,After receiving the second message, the station establishes a TDLS direct link in which the security protocol is established with the initiating station, 상기 제공자 논스와 상기 인증자 논스를 기반으로 보안키가 생성되는 것을 특징으로 하는 스테이션.Wherein the secure key is generated based on the provider nonce and the authenticator nonce.
KR1020070114592A 2007-11-10 2007-11-10 Method for establishing and managing a secure direct link between stations KR101403837B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070114592A KR101403837B1 (en) 2007-11-10 2007-11-10 Method for establishing and managing a secure direct link between stations

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070114592A KR101403837B1 (en) 2007-11-10 2007-11-10 Method for establishing and managing a secure direct link between stations

Publications (2)

Publication Number Publication Date
KR20090048530A KR20090048530A (en) 2009-05-14
KR101403837B1 true KR101403837B1 (en) 2014-06-09

Family

ID=40857555

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070114592A KR101403837B1 (en) 2007-11-10 2007-11-10 Method for establishing and managing a secure direct link between stations

Country Status (1)

Country Link
KR (1) KR101403837B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR200419294Y1 (en) 2005-04-04 2006-06-16 인터디지탈 테크날러지 코포레이션 Apparatus for improving responsiveness in exchanging frames in a wireless local area network
US20070097934A1 (en) * 2005-11-03 2007-05-03 Jesse Walker Method and system of secured direct link set-up (DLS) for wireless networks
JP2007150756A (en) 2005-11-28 2007-06-14 Canon Inc Communication path setting method and communication system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR200419294Y1 (en) 2005-04-04 2006-06-16 인터디지탈 테크날러지 코포레이션 Apparatus for improving responsiveness in exchanging frames in a wireless local area network
US20070097934A1 (en) * 2005-11-03 2007-05-03 Jesse Walker Method and system of secured direct link set-up (DLS) for wireless networks
JP2007150756A (en) 2005-11-28 2007-06-14 Canon Inc Communication path setting method and communication system

Also Published As

Publication number Publication date
KR20090048530A (en) 2009-05-14

Similar Documents

Publication Publication Date Title
EP3576446B1 (en) Key derivation method
KR101901448B1 (en) Method and apparatus for associating statinon (sta) with access point (ap)
EP2060052B1 (en) Security authentication and key management within an infrastructure-based wireless multi-hop network
KR101659988B1 (en) Wireless multiband security
US8122249B2 (en) Method and arrangement for providing a wireless mesh network
KR101717719B1 (en) Station-to-station security associations in personal basic service sets
EP1974553B1 (en) Wireless router assisted security handoff (wrash) in a multi-hop wireless network
US7804807B2 (en) Managing establishment and removal of security associations in a wireless mesh network
EP1972125B1 (en) Apparatus and method for protection of management frames
TWI393414B (en) Secure session keys context
US20170359719A1 (en) Key generation method, device, and system
US8959333B2 (en) Method and system for providing a mesh key
JP2015502104A (en) Method and device for authentication in an integrated wireless network
KR20180120696A (en) WWAN-WLAN aggregation security
KR101403837B1 (en) Method for establishing and managing a secure direct link between stations

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee